Zero Trust: nie ufaj, sprawdzaj!
O modelu Zero Trust zrobiło się szczególnie głośno w roku 2020, gdy pojawiła się pilna potrzeba zabezpieczania komputerów zdalnych pracowników. Tamten okres mamy za sobą, ale nie znikła potrzeba tego rodzaju ochrony firmowej sieci, która de facto nie ma już wyraźnych granic.
Rozwiązania VPN i ZTNA niekiedy się wykluczają.
Jak wdrażać zerowe zaufanie?
Czy wdrożenie Zero Trust bardziej polega na gotowych produktach/narzędziach, które narzucają realizację tego modelu, czy może bardziej na samodzielnym tworzeniu polityki bezpieczeństwa i jej przestrzeganiu?
– Gotowe rozwiązania ZTNA zapewniają niezbędną strukturę i technologię do egzekwowania kontroli dostępu, uwierzytelniania i innych środków bezpieczeństwa. Jednak równie ważne jest utworzenie i przestrzeganie polityki bezpieczeństwa specyficznej dla danej organizacji. Polityka definiuje kontrolę dostępu, mechanizmy uwierzytelniania i wytyczne dotyczące monitorowania zachowania użytkowników, które są zgodne z potrzebami danej firmy. Zapewnia, że wybrane narzędzia ZTNA są wdrażane w sposób spełniający cele bezpieczeństwa i zgodność z przepisami. Oba elementy są niezbędne do pomyślnego wdrożenia ZTNA – uważa Piotr Czarnecki, wiceprezes zarządu Netformers.
I choć nie ma jednego sposobu wdrażania ZTNA, to niezależnie od wybranej metody, przede wszystkim niezbędna jest zmiana podejścia do bezpieczeństwa sieciowego i dostępu do zasobów, wynikająca z braku zaufania do określonych lokalizacji, urządzeń czy użytkowników. ZTNA zakłada, że każde żądanie dostępu jest potencjalnie niebezpieczne i musi być zweryfikowane, a granicy między siecią wewnętrzną a zewnętrzną nie ma i każdy element sieci jest narażony na ataki.
Większość produktów ZTNA to usługi w chmurze, które integrują się z istniejącymi aplikacjami i infrastrukturą sieciową organizacji. Rozwiązania ZTNA w chmurze mogą zapewniać większą skalowalność, elastyczność i łatwość zarządzania. Niektóre z tych rozwiązań wspierają też aplikacje on-premise, co pozwala na korzystanie z nich firmom, które mają zarówno zasoby chmurowe, jak i on-premise.
– Inne produkty ZTNA to sprzętowe lub software’owe zapory sieciowe, które realizują koncepcję ZTNA na poziomie sieci lub urządzeń. Rozwiązania ZTNA oparte na zaporach sieciowych mogą zapewniać większą kontrolę nad ruchem sieciowym i dostępem do zasobów. Niektóre z tych rozwiązań umożliwiają też integrację z usługami chmurowymi lub innymi technologiami ZTNA, takimi jak CASB czy SASE. Ponadto takie rozwiązania wykorzystują zaawansowane mechanizmy autoryzacji i uwierzytelniania, w tym certyfikaty SSL, mikrosegmentację i uwierzytelnianie wieloskładnikowe (MFA) – wylicza Michał Wendrowski.
ZTNA nie może być kulą u nogi
Stojąc przed perspektywą wdrożenia modelu Zero Trust, działy odpowiedzialne za IT oraz bezpieczeństwo martwią się o dodatkowe opóźnienia wprowadzane przez rozwiązania ZTNA. Nie wiedzą też, jak zaplanować wykonalny budżet, jak dokonać właściwego wyboru dostawcy oraz pokonać przyzwyczajenia i ograniczenia organizacyjne.
– Aby ZTNA podniosło poziom bezpieczeństwa bez zakłócania procesów biznesowych, wymaga spójnej strategii w odniesieniu do zasobów lokalnych, chmurowych, aplikacji SaaS oraz weryfikacji użytkowników łączących się z różnych urządzeń i lokalizacji – twierdzi Robert Dąbrowski, szef zespołu inżynierów w polskim oddziale Fortinetu.
Wdrożenie odpowiedniej dla firmy strategii cyberbezpieczeństwa, w tym przygotowanie odpowiednich narzędzi jest złożonym procesem. Zero Trust Network Access bez odpowiedniego wsparcia wewnątrz firmy będzie tylko nieprzyjemnym obowiązkiem frustrującym pracowników.
– Największym wyzwaniem ZTNA jest obecnie ograniczenie częstotliwości, z jaką użytkownicy muszą potwierdzać swoją tożsamość, przy jednoczesnym zachowaniu najwyższego możliwego bezpieczeństwa. Duże usprawnienie w tej materii stanowią rozwiązania oparte na AI i Machine Learningu, które w celu potwierdzenia tożsamości użytkownika analizują jego historię logowań – mówi Przemysław Kania.
W związku z wdrożeniem ZTNA ważna jest edukacja – osoby mające dostęp do danych firmowych powinny znać podstawowe zagrożenia w sieci i rozumieć, że kryją się one na każdym kroku. Ostatecznie, to zawsze człowiek będzie najważniejszą i najwrażliwszą częścią systemu cyberbezpieczeństwa.
Zdaniem integratora
Piotr Czarnecki, wiceprezes zarządu, Netformers Organizacje stają w obliczu coraz bardziej wyrafinowanych i ukierunkowanych cyberataków. ZTNA pomaga ograniczyć te zagrożenia, wymuszając ścisłą kontrolę dostępu, weryfikując tożsamość użytkowników i zmniejszając powierzchnię ataku. Jednak, aby przyjąć koncepcję Zero Trust i zakwestionować tradycyjne podejście „niejawnego zaufania” potrzeba zmiany kulturowej w organizacjach. Wyzwaniem mogą być przy tym starsze systemy i aplikacje, ponieważ mogą nie być dostosowane do wprowadzanych zasad ZTNA. Wtedy niezbędna okaże się ich aktualizacja, modyfikacja albo wymiana. Skalowalność i wydajność to też ważne kwestie, które należy wziąć pod uwagę, jeśli chce się sprostać rosnącym wymaganiom użytkowników i ruchowi sieciowemu. Z kolei zarządzanie politykami w ramach ZTNA wymaga starannego planowania i stałego dostosowywania do zmieniających się potrzeb. Zmierzenie się z tymi wyzwaniami wymaga specjalistycznej wiedzy technicznej, strategicznego planowania, zaangażowania i ciągłego monitorowania chronionego środowiska.
Podobne artykuły
Fudo Security: VPN już nie wystarcza
W dobie bardzo rygorystycznych przepisów wymuszających ochronę danych wrażliwych konieczne staje się m.in. ścisłe zarządzanie dostępem do nich w odniesieniu do użytkowników, ale też do osób z wyższymi uprawnieniami, np. administratorów.
Zero Trust stymulatorem rynku
Brak zaufania wobec użytkowników infrastruktury IT staje się kluczową i docelową strategią zapewniającą ochronę przed wyciekami danych, do których może dochodzić w wyniku zewnętrznych ataków oraz incydentów wewnątrz firm.
Z czym na NIS2?
Jakie produkty, rozwiązania i usługi powinny szczególnie zainteresować klientów w kontekście wchodzącej w życie w październiku tego roku dyrektywy?